Uniforme Beveiligingsvoorschriften – Veilig en Betrouwbaar e-mailverkeer

Versie: UBV Veilig en Betrouwbaar e-mailverkeer v0.9
Status: Concept - september 2021
Sector: PO VO MBO HO

Beschrijving

In deze standaard worden afspraken voor veilig en betrouwbaar e-mailverkeer behandeld. Deze dragen bij aan de afleverbetrouwbaarheid van e-mail en bescherming van domeinnamen tegen misbruik, zoals bijvoorbeeld phishing. De beveiligingsstandaarden die hiervoor van belang zijn (SPF, DKIM en DMARC) en de juiste toepassing ervan, worden toegelicht. Dat geldt ook de toepassing van STARTTLS en DANE, die de communicatie tussen mailservers beveiligt. Beveiligingsstandaarden voor beveiliging van het e-mailbericht zelf, zoals versleuteling of ondertekening, vallen buiten scope en worden niet behandeld. Dat geldt ook voor de verdere afhandeling binnen de e-mailtoepassing zelf.

De genoemde beveiligingsstandaarden zijn onderdeel van de lijst open standaarden van Forum Standaardisatie, die door de Wet Digitale Overheid (WDO) verplicht worden gesteld. Deze lijst is als uitgangspunt genomen, maar ook andere relevante standaarden en of configuraties die bijdragen aan een veilig en betrouwbaar e-mailverkeer worden behandeld.

Deze versie (0.9) is bijgewerkt op basis van de consultatie en de laatste opmerkingen die door de werkgroep zijn gemaakt. Deze versie wordt ter vaststelling voorgelegd aan de Architectuurraad en Standaardisatieraad. Op basis daarvan wordt definitieve versie gemaakt en gepubliceerd.

Samenhang

Gebruikte standaarden in dit document staan op de lijst met Verplichte (pas toe of leg uit) standaarden van Forum Standaardisatie.

Voor de Uniforme Beveiligingsvoorschriften wordt waar mogelijk gebruikgemaakt van ‘hoger gelegen’ afspraken. Bij voorkeur internationale afspraken (zoals van INAN), indien nodig nationale afspraken (zoals van Forum Standaardisatie en NCSC) en alleen als die niet voldoen, aanvullende afspraken die in deze werkgroep worden gemaakt. Afwijken van bovenliggende afspraken wordt onderbouwd. In geval van deze voorschriften, worden de factsheets ‘Bescherm domeinnaam tegen phishing’ en ‘Beveilig verbindingen van mailservers’ van NCSC gevolgd.

Meerwaarde

De afspraak ‘UBV – Veilig en Betrouwbaar e-mailverkeer’ beoogt een aantal standaarden voor e-mailverkeer in samenhang te beschrijven zodat ze goed implementeerbaar zijn in het onderwijsdomein. Dit verhoogt de afleverbetrouwbaarheid van e-mail en vermindert de kans op misbruik van domeinnamen in de sector (zoals phishing). Verder verhoogt het het gebruik van beveiligde communicatie tussen mailservers, wat bijdraagt aan  de integriteit en vertrouwelijkheid van het e-mailverkeer. Let wel, niet het e-mailbericht zelf. Daar zijn andere beveiligingsstandaarden voor nodig, zoals versleuteling en ondertekening. Deze worden niet behandeld in de ‘UBV – Veilig en Betrouwbaar e-mailverkeer’.

De Wet Digitale Overheid (WDO) stelt genoemde beveiligingsstandaarden verplicht voor (semi-)publieke organisaties. De voorschriften in ‘UBV – Veilig en Betrouwbaar e-mailverkeer’ faciliteren een effectieve implementatie van deze standaarden in het onderwijsdomein.

Gebruik

Het betreft een versie ter vaststelling. Op basis hiervan kunnen voorschriften nog wijzigen.

De licentie op de voorschriften is CC BY 4.0 (Attribution 4.0 International). Dit betekent in eenvoudige termen dat men vrij is om het werk te delen en te bewerken, mits bronvermelding wordt toegepast. Let wel op dat de voorschriften zijn ontworpen voor de onderwijssector.

Heeft u vragen of ideeën over de Uniforme Beveiligingsvoorschriften? Suggesties, aanvullende maatregelen of beter formuleringen zijn van harte welkom. Mail naar info(Replace this parenthesis with the @ sign)edustandaard.nl, met “UBV – Veilig en Betrouwbaar e-mailverkeer” in het onderwerp. Uw ervaringen helpen ons ook met vaststellen of de voorschriften goed zijn toe te passen en zijn doelen bereikt.

Implementatie

De ‘UBV – Veilig en Betrouwbaar e-mailverkeer’ voorschriften kunnen door alle partijen die e-mail uitwisselen in het onderwijsdomein zelfstandig worden geïmplementeerd. Invoeren van de op DMARC gebaseerde rapportage is daarbij een belangrijke eerste stap. Strengere filtering, waarmee het potentieel van de standaarden ten volle wordt benut, kan worden toegepast als de meeste partijen de voorschriften hebben toegepast.

Ontwikkelingen

Binnen Edustandaard wordt periodiek (minimaal eenmaal per jaar) de opzet en de werking van de voorschriften besproken met alle relevante stakeholders die zijn vertegenwoordigd in de Standaardisatieraad. Hiertoe wordt input verzameld vanuit de Edustandaard Werkgroep Uniforme Beveiligingsvoorschriften en vanuit Edu-K.